16.01.2023 @ 18:55 Немезида ВАФ: итоги 2022 API Firewall, ddos, Nemesida WAF, Pentestit, WAF, Немезида ВАФ «Год был непростым» (c). Эта мысль наверняка первая, которая приходит в голову, проводя Time Recap уходящего года. Еще «вчера» зарубежные вендоры охотно предоставляли свои услуги, в том числе в области информационной безопасности, а сейчас приходится в спешке импортозамещать, выбирая из тех, кто остался. Читать далее Немезида ВАФ: итоги 2022 → Hekpo 8300 Web security Читать дальше >>
01.02.2022 @ 9:42 WebSecOps: веб-безопасность от А до RCE owasp, Pentestit, SQL injection, WAF, WAF bypass, web security Разработка веб-приложений похожа на задачку про два стула, где реализовать функционал, не допустив при этом уязвимость, крайне непросто. Особенно сильно это проявляется при сжатых сроках. Независимо от того, какой язык используется, насколько хорошо написан код, какие задействованы фреймворки — недостатки будут появиться даже в проверенном и легаси коде, важно уметь их оперативно выявлять, устранять и не придерживаться правила: «лучше XSS в проде, чем RCE в деве». Веб-разработка развивается очень быстро, постоянно появляются новые технологии, а с ними и новые угрозы безопасности. Поэтому мы разработали отдельную программу практической подготовки WebSecOps, рассчитанную на тех, кто хочет прокачать навыки в области веб-безопасности. Читать далее WebSecOps: веб-безопасность от А до RCE → Hekpo 6482 Web security Читать дальше >>
18.01.2021 @ 15:53 Хранимые, отображаемые и DOM-based XSS Nemesida WAF, Pentestit, web security, XSS, XXSer, XXStrike XSS (Cross Site Scripting) — один из самых популярных видов веб-уязвимостей, позволяющий производить внедрение вредоносного кода в отдаваемую веб-приложением страницу. Атаки с использованием XSS-вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые разделы сайта и даже привилегии администратора веб-ресурса. Существует несколько видов XSS: Хранимые. Вредоносный код сохраняется на сервере и загружается с него каждый раз, когда пользователи запрашивают отображение той или иной страницы. Чаще всего проявляются там, где пользовательский ввод не проходит фильтрацию и сохраняется на сервере: форумы, блоги, чаты, журналы сервера и т.д. Например, скрипт <img src="http://exmple.com/">, оставленный на странице сайта с очень высокой посещаемостью, может спровоцировать DDoS-атаку на указанный веб-ресурс. Отображаемые. Вредоносная строка является частью запроса жертвы к веб-сайту. Сайт принимает и вставляет эту вредоносную строку в отправляемый ответ обратно пользователю. Например, при переходе пользователем по ссылке: http://example.com/q=<href='a' style='font-size:500px'> на странице отобразится гиперссылка, при наведении на которую выполнится скрипт alert(‘XSS’). Но для этого необходимо каким-то образом (например, с использованием социальной инженерии) заставить пользователя ввести эту ссылку в адресной строке. XSS в DOM-модели. Представляет собой вариант как хранимой, так и отображаемой XSS-атаки. В данном случае вредоносная строка не обрабатывается браузером жертвы, пока настоящий JavaScript веб-сайта не выполнится. Читать далее Хранимые, отображаемые и DOM-based XSS → Hekpo 7605 Web security Читать дальше >>
28.10.2020 @ 10:13 Не теребите мой API: обзор OWASP API Security Top 10 API, Nemesida WAF, OWASP API Security Top 10, Pentestit API — это набор способов и правил, по которым различные программы общаются между собой и обмениваются данными. Технически API означает программный интерфейс приложения. Интерфейс — это граница между двумя функциональными системами, на которой происходит их взаимодействие и обмен информацией. Но при этом процессы внутри каждой из систем скрыты друг от друга. API даёт доступ к готовым инструментам, например, к функциям библиотеки для машинного обучения. API позволяет вынести в отдельное приложение функционал, который должен быть защищен. Снижается вероятность некорректного использования этих функций другими программами. С помощью API можно связывать разные системы, например, подключить к сайту платёжную систему или аутентификацию через социальные сети. OWASP API Security Top 10 API используется повсеместно, а вместе с этим растет количество инцидентов, связанных с атаками на его функционал. Авторитетный проект OWASP, сосредоточенный на безопасности веб-приложений, выпустил OWASP API Security Top 10 2019 (PDF-версия) — перечень наиболее опасных и распространенных ошибок при разработке и использовании API: API1:2019 — Недостатки контроля доступа к объектам; API2:2019 — Недостатки аутентификации; API3:2019 — Разглашение конфиденциальных данных; API4:2019 — Отсутствие ограничений на ресурсы и запросы; API5:2019 — Недостатки контроля доступа на функциональном уровне; API6:2019 — Переназначение параметров; API7:2019 — Ошибки настроек безопасности; API8:2019 — Инъекции; API9:2019 — Некорректное управление ресурсами; API10:2019 — Недостаточное журналирование и мониторинг. Читать далее Не теребите мой API: обзор OWASP API Security Top 10 → Hekpo 9245 Web security Читать дальше >>
14.10.2020 @ 13:32 Разведка и сбор информации — обзор инструментария OSINT Dmitry, google dork, Nmap, OSINT, Pentestit, Recon-ng, TheHarvester, TiDos OSINT подразумевает сбор и анализ общедоступной информации, в основном из сетевых источников. В разрезе кибербезопасности/пентеста OSINT чаще всего применяется для сбора публичных данных о компании, и это касается не только информации об адресах электронной почты ее сотрудников. Не менее интересной будет информация о: DNS-именах и IP-адресах; открытых портах; запущенных сетевых службах; наличии сервисов удаленного доступа; незащищенных приложениях и операционных системах; имеющихся механизмах безопасности. К счастью, для проведения OSINT существует множество инструментов и сегодня мы рассмотрим некоторые их тех, которые помогут собрать информацию об организации и составить ее цифровой след. Читать далее Разведка и сбор информации — обзор инструментария OSINT → Hekpo 11830 Penetration testing Читать дальше >>
29.09.2020 @ 11:52 (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника Acunetix, BurpSuite, DirBuster, Nemesida WAF, owasp, Pentestit, SQLmap, ZAP Обеспечение безопасности веб-приложений (сайтов, интернет-магазинов, личных кабинетов) и API — не такая простая задача, как может показаться на первый взгляд. Этому есть несколько причин: веб-приложения доступны 24/7, и злоумышленник в любой момент может предпринять свою атаку; веб-приложения представляют собой стек различных технологий, взаимодействие которых порой сложно осуществить; веб-приложения часто бывают самописными и, к несчастью, это не делает их более защищенными; веб-приложения изначально разрабатываются для улучшения имиджа компании и получения экономической выгоды, а об их безопасности задумываются далеко не в первую очередь; благодаря веб-приложению можно получить различную ценную информацию, начиная от данных пользователей и заканчивая наработками компании-владельца. Конечно, веб-разработчики стараются не допускать появлению уязвимостей, но в силу причин, описанных ранее, не всегда этого удается избежать, а иногда и исправить с первого раза. Чтобы разобраться с актуальными видами уязвимостей веб-приложений достаточно обратиться к одному из самых авторитетных проектов, посвященных веб-безопасности — OWASP. Помимо прочего, на ресурсе можно найти список наиболее опасных и актуальных уязвимостей веб-приложений под названием OWASP Top Ten: А1 — Инъекции; А2 — Недостатки аутентификации; А3 — Разглашение конфиденциальных данных; А4 — Внешние сущности XML (XXE); А5 — Недостатки контроля доступа; А6 — Некорректная настройка параметров безопасности; А7 — Межсайтовое выполнение сценариев (XSS); А8 — Небезопасная десериализация; А9 — Использование компонентов с известными уязвимостями; А10 — Недостатки журналирования и мониторинга. Читать далее (не)Безопасный веб: узнаем об уязвимостях раньше злоумышленника → Hekpo 10552 Web security Читать дальше >>
10.08.2020 @ 14:38 Enum4linux: получаем информацию из Active Directory active directory, Enum4linux, penetration testing, pentest, Pentestit Проводя тестирование на проникновение, довольно часто приходится иметь дело с доменами Active Directory. Домен — группа подключенных к сети компьютеров, которые совместно используют информацию об учетных записях пользователей и политику безопасности. За его управление отвечает контроллер домена, на котором работает служба Active Directory, если используется Windows Server, или Samba — для Unix-подобных систем. Эти службы позволяют хранить информацию о самом домене, всех ее пользователях, настройках и т.д. Чтобы получить информацию о домене, необходимо использовать специальный инструментарий, например Enum4linux. Этот инструмент написан на Perl и представляет собой обёртку вокруг инструментов из пакета Samba: smbclient, rpclient, net и nmblookup, поэтому необходимо установить сам пакет Samba в качестве зависимости. Ключевые функции: вывод списка пользователей; вывод информации о членстве в группе; перечисление общих ресурсов; определение принадлежности к рабочей группе или к домену; идентификация удалённой операционной системы; получение информации о парольной политике. Читать далее Enum4linux: получаем информацию из Active Directory → Hekpo 12258 Penetration testing Читать дальше >>
21.07.2020 @ 15:22 Эксплуатация XSS уязвимостей с использованием XSStrike Pentestit, web security, XSS, XSStrike XSS (Cross Site Scripting) — тип атаки, заключающийся во внедрении в выдаваемую веб-приложением страницу вредоносного кода, который будет выполнен на стороне пользователя при открытии им этой страницы. Являясь одним из наиболее популярных нарушением безопасности веб-приложений, атаки с использованием XSS вектора позволяют внедрять на страницу произвольное содержимое, перехватывать cookie и сессии других пользователей, получать доступ в закрытые раздела сайта и даже привелегии администратора веб-ресурса Существует несколько видов XSS: Хранимые — вредоносный код сохраняется на сервере и загружается с него каждый раз, когда пользователи запрашивают отображение той или иной страницы; Отображаемые — вредоносная строка является частью запроса жертвы к веб-сайту. Сайт принимает и вставляет эту вредоносную строку в отправляемый ответ обратно пользователю; XSS в DOM-модели — представляет собой вариант как хранимой, так и отображаемой XSS-атаки. В этой XSS-атаке вредоносная строка не обрабатывается браузером жертвы, пока настоящий JavaScript веб-сайта не выполнится. XSStrike — это пакет обнаружения XSS-уязвимостей, оснащенный четырьмя рукописными синтаксическими анализаторами, интеллектуальным генератором полезной нагрузки, мощным механизмом фаззинга и быстрым сканером. Он распознаёт ответ с помощью нескольких анализаторов, и затем обрабатывает полезные данные, которые гарантированно будут работать с помощью контекстного анализа, интегрированного в механизм фаззинга. Читать далее Эксплуатация XSS уязвимостей с использованием XSStrike → Hekpo 12554 Web security Читать дальше >>
09.06.2020 @ 15:17 Пентест сетевого периметра с использованием Kali Linux kali linux 2.0, network security, penetration testing, Pentestit, web security Внешний сетевой периметр чаще всего подвергается атакам, определяя перед техническими специалистами задачу — сделать его максимально защищенным и неприступным. Для этого необходимо проводить тестирование на проникновение, одним из этапов которого является сканирование периметра на наличие уязвимостей. Если привлечь сторонних специалистов для проведения работ возможности нет, на базовом уровне можно самостоятельно оценить защищенность сетевых ресурсов бесплатно, без регистрации и СМС. Читать далее Пентест сетевого периметра с использованием Kali Linux → Hekpo 23817 Penetration testing Читать дальше >>
18.05.2020 @ 18:31 Атака на сайт с WordPress через JavaScript и XSS JavaScript, Nemesida WAF, Pentestit, RCE, web security, WordPress, XSS Недавно Nemesida WAF заблокировал довольно занимательную попытку атаки с использованием XSS и JavaScript. Несмотря на то, что я не являюсь JS-разработчиком, ради интереса решил разобраться в сути атаки. Особенность вектора заключается в специфике работы самого WordPress — возможность редактировать файлы тем через админ-панель, позволяя незаметно для администратора внедрить вредоносный код. Пейлоад, представленный в виде JS, размещается на сайте через XSS-уязвимость, после чего ждет своего исполнения. Отработанный на стороне администратора веб-ресурса, код модифицирует содержимое файла темы WordPress (header.php), позволяя злоумышленнику закрепиться в системе и полностью скомпрометировать веб-приложение. Читать далее Атака на сайт с WordPress через JavaScript и XSS → Hekpo 8855 Web security Читать дальше >>